福岡ひびき信用金庫は11月25日、9月25日に公表した同金庫子会社ホームページへの不正アクセスについて、調査結果を発表した。
同金庫子会社であるひびしんキャピタル株式会社では9月11日午前11時に、同社ホームページへのアクセスが不可となり、同日午前12時にはスパムサイトへのリダイレクトの発生を確認したため、委託先に当該ホームページをメンテナンス画面の表示のみに変更するよう連絡していた。
調査結果によると、ひびしんキャピタルが委託していた外部業者の管理するWebサイトに外部からのパスワード総当たり(ブルートフォース)攻撃による不正アクセスがあり、不正アクセスを起点として、ひびしんキャピタルのホームページの一部プログラムが改ざんされ、閲覧者が不審な外部サイトへリダイレクトされる状態となったとのこと。
専門業者による調査の結果、ひびしんキャピタル及び委託先のWebサイトおよび関連システムには、悪用可能な脆弱性は確認されなかった。
また、当該ホームページでは顧客情報の収集・保存は行っておらず、現時点で個人情報の流出は確認されていない。
同金庫子では下記の再発防止策を講じるとのこと。
・子会社が運用するホームページについても、同金庫と同等のセキュリティ対策を徹底する。
・子会社が外部業者にホームページ運用を委託する際は、同金庫が委託先のセキュリティ管理状況を厳格に確認し、定期的な監査・点検を実施する。
・子会社でも情報セキュリティ教育を強化し、関係者の意識向上に努める。
